Поделиться через

Создание виртуальной машины на основе утвержденной базы

  • Статья

В этой статье описано, как с помощью Azure создать виртуальную машину, содержащую предварительно настроенную и рекомендуемую операционную систему. Если это не совместимо с вашим решением, вы можете создать и настроить локальную виртуальную машину, использующую утвержденную операционную систему.


Примечание.

Перед началом этой процедуры ознакомьтесь с техническими требованиями для предложений виртуальных машин Azure, включая требования к виртуальному жесткому диску (VHD).

Выбор образа утвержденной базы

Выберите в качестве базы один из следующих образов Windows или Linux.

Windows

  • Windows Server
  • SQL Server 2019, 2014, 2012
  • Windows 11 Корпоративная (этот базовый образ утвержден только для использования с Microsoft Dev Box)

Linux

Azure предлагает широкий диапазон утвержденных дистрибутивов Linux. Текущий список см. в статье Дистрибутивы Linux, рекомендованные для использования в Azure.

Создание виртуальной машины с помощью портала Azure

  1. Войдите на портал Azure.
  2. Выберите Виртуальные машины.
  3. Нажмите кнопку "+ Создать и + Виртуальная машина " в раскрывающемся меню, чтобы открыть экран "Создать виртуальную машину ".
  4. Выберите изображение из раскрывающегося списка или выберите "Просмотреть все образы " для поиска или просмотра всех доступных образов виртуальных машин. Вы также можете настроить создание образа виртуальной машины в зависимости от выбранного образа.
  5. Выберите размер виртуальной машины для развертывания.
  6. Укажите другие необходимые сведения для создания виртуальной машины.
  7. Выберите Просмотр и создание, чтобы проверить выбранные параметры. Когда отобразится сообщение Проверка пройдена, выберите Создать.

Azure начнет подготовку указанной вами виртуальной машины. Ход выполнения можно отслеживать, выбрав вкладку Виртуальные машины в меню слева. После завершения создания состояние виртуальной машины изменится на Выполняется.

Настройка виртуальной машины

В этом разделе описано обновление и подготовка виртуальной машины Azure, а также определение ее размера. Эти шаги нужны для того, чтобы подготовить виртуальную машину к развертыванию в Azure Marketplace.

Подключение к виртуальной машине

Следуйте инструкциям в указанных статьях для подключения к виртуальной машине Windows или Linux.

Установка самых свежих обновлений

Базовые образы виртуальных машин с операционной системой должны содержать все последние обновления до даты публикации образа. Перед публикацией обязательно примените все обновления безопасности и обслуживания для операционной системы и всех установленных служб.

  • В ОС Windows Server для этого следует запустить команду Проверить наличие обновлений.
  • Для дистрибутивов Linux обновления обычно скачиваются и устанавливаются с помощью средства командной строки или графической программы. Например, в Ubuntu Linux для обновления операционной системы есть команда apt-get и средство Менеджер обновления.

Выполнение дополнительных проверок безопасности

Обеспечение высокого уровня безопасности образов решений в Azure Marketplace. Контрольный список конфигураций и процедур безопасности см . в рекомендациях по безопасности для образов Azure Marketplace.

Настройка образа виртуальной машины

Теперь установите необходимое программное обеспечение и внесите изменения пользовательской конфигурации на виртуальной машине для правильной работы решения, включая все запланированные задачи, которые должны выполняться после развертывания. При внесении пользовательских изменений следует учитывать следующее:

  • Если это запланированная задача запуска один раз, задача должна удалиться после успешного завершения.
  • Конфигурации должны базироваться лишь на дисках C или D, так как всегда гарантируется наличие только этих двух дисков (диск C является диском операционной системы, а диск D — временным локальным диском).
  • Внесите любые изменения технической конфигурации, необходимые для решения. Позже вы пометите конфигурации, которые вы делаете на виртуальной машине, в разделе "Свойства " страницы технической конфигурации в Центре партнеров. Это покажет клиентам, какие сценарии поддерживаются на основе внесенных изменений конфигурации. Выберите из следующих свойств технической конфигурации во время публикации:
    • Поддержка резервного копирования
    • Поддержка ускоренной сети
    • Поддерживает конфигурацию cloud-init
    • Поддержка расширений
    • Является сетевым виртуальным устройством
    • Удаленный рабочий стол или SSH отключены
    • Требуется пользовательский шаблон ARM

Дополнительные сведения о настройке Linux см. в обзоре расширений и компонентов виртуальной машины для Linux.

Образ следует сделать максимально общим по сути

Все изображения в Azure Marketplace должны использоваться повторно в универсальном режиме. Для этой цели виртуальный жесткий диск операционной системы необходимо подготовить (обобщить). Эта операция удаляет с виртуальной машины все идентификаторы, относящиеся к определенному экземпляру, и программные драйверы.

Для Windows

Для обобщения дисков ОС Windows используется средство sysprep. Если вы позднее обновите операционную систему или измените ее конфигурацию, потребуется снова запустить sysprep.

Предупреждение

После запуска sysprep отключите виртуальную машину, пока она не будет развернута, так как обновления могут выполняться автоматически. Это завершение работы не позволит последующим обновлениям вносить в операционную систему или установленные службы изменения, относящиеся к конкретному экземпляру. Дополнительные сведения о запуске sysprep см. в разделе об обобщении виртуальной машины Windows.

Примечание.

Если вы включили Microsoft Defender для облака (Azure Defender) в подписке, в которой создается виртуальная машина для записи, и вы не хотите, чтобы какая-либо виртуальная машина, созданная на этом образе, была зарегистрирована на портале Defender для конечной точки, убедитесь, что вы отключите Microsoft Defender для облака в подписке или для самой виртуальной машины. Если это не отключено, любая виртуальная машина, созданная на основе этого образа, будет зарегистрирована на портале Defender для конечной точки, даже если виртуальная машина развернута в другом клиенте без Microsoft Defender для облака.

Для Linux

  1. Удалите агент Linux для Azure.

    1. Подключитесь к виртуальной машине Linux c помощью клиента SSH.
    2. В окне SSH введите следующую команду: sudo waagent –deprovision+user.
    3. Для продолжения введите Y (можно добавить параметр -force в предыдущую команду, чтобы предотвратить появление запроса на подтверждение).
    4. После выполнения команды введите Exit, чтобы закрыть SSH-клиент.

  2. Если на образе установлен Microsoft Defender для конечной точки (MDE), удалите MDE, выполнив следующие команды в зависимости от ОС образа:

    • RHEL, CentOS и Oracle: sudo yum remove mdatp

    • SLES и варианты: sudo zypper remove mdatp

    • Ubuntu и Debian: sudo apt-get purge mdatp

    • Моряк: sudo dnf remove mdatp

  3. Остановите виртуальную машину.

    1. На портале Azure выберите нужную группу ресурсов (RG) и отмените распределение виртуальной машины.
    2. Это действие обобщает виртуальную машину, и теперь вы можете создать новую виртуальную машину на основе этого диска виртуальной машины.

Захват изображения

Примечание.

Подписка Azure, содержащая коллекцию вычислений Azure, должна находиться под тем же клиентом, что и учетная запись издателя для публикации. Кроме того, учетная запись издателя должна иметь по крайней мере доступ участника к подписке, содержащей коллекцию вычислений Azure.

Когда виртуальная машина будет готова, ее можно записать в коллекции вычислений Azure (прежнее название — Общая коллекция образов). Для записи выполните приведенные ниже действия.

  1. На портал Azure перейдите на страницу виртуальной машины.
  2. Выберите Запись.
  3. В разделе "Общий доступ к коллекции вычислений Azure" выберите "Да", чтобы предоставить общий доступ к коллекции в качестве версии образа.
  4. В разделе Состояние операционной системы выберите "Обобщенная".
  5. Выберите коллекцию для целевого образа или создайте новую.
  6. Выберите определение целевого образа или создайте новое.
  7. Укажите номер версии для образа.
  8. Выберите Просмотр и создание, чтобы проверить выбранные параметры.
  9. Когда проверка будет пройдена, нажмите кнопку Создать.

Для публикации образов виртуальных машин в Azure Marketplace из коллекции вычислений Azure требуется задать разрешения, чтобы Центр партнеров смог получить образы, размещенные в коллекции.

Внимание

Корпорация Майкрософт перемещает процесс получения изображений из коллекции вычислений в более безопасный процесс. Чтобы продолжить обновление предложений виртуальной машины, убедитесь, что следующие приложения Майкрософт предоставляются для доступа, выполнив следующие действия. Эти действия необходимо выполнить один раз для каждой коллекции вычислений, используемой для публикации в Azure Marketplace.

Необходимые компоненты

Чтобы предоставить разрешение Центра партнеров, необходимо убедиться, что выполнены следующие предварительные требования:

  1. Коллекция вычислений Azure должна находиться в том же клиенте Microsoft Entra, который связан с учетной записью Центра партнеров
  2. Вы должны быть владельцем подписки, в которой присутствует коллекция вычислений.

Совет

Рекомендуется использовать выделенную коллекцию вычислений для публикации в Центре партнеров и предоставить разрешение только этой выделенной коллекции. Вам не нужно предоставлять разрешения на уровне подписки.

Шаг 1. Подготовка субъектов-служб

Сначала необходимо подготовить субъекты-службы в подписке Azure, которая выполняется путем регистрации поставщика ресурсов Центра партнеров Майкрософт (RP). Субъект-служба — это удостоверение, которое затем будет использоваться для предоставления Центру партнеров доступа к коллекции вычислений для получения образов. Этот шаг не предоставляет доступ.

PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Azure CLI
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

После подготовки субъектов-служб они должны быть предоставлены явные разрешения на чтение изображений из определенной коллекции вычислений. Центр партнеров находится в процессе перехода на более безопасный процесс получения изображений. Во время этого перехода мы просим временно предоставить доступ к двум приложениям Майкрософт, чтобы вы могли продолжить обновление предложений виртуальной машины.

PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Azure CLI
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Портал Azure

  1. Login для портал Azure

  2. Перейдите в коллекцию вычислений Azure, содержащую образ виртуальной машины.

  3. Перейдите на вкладку управления доступом в коллекции вычислений Azure.

  4. Выберите Добавить>Добавить назначение ролей.

  5. Выберите средство чтения изображений коллекции вычислений и нажмите кнопку "Далее".

  6. Выберите, чтобы назначить доступ пользователю, группе или субъекту-службе.

  7. Щелкните и выберите участников и найдите участников и выберите субъекты-службы "Поставщик ресурсов Центра партнеров Майкрософт" и "Реестр вычислительных образов". Нажмите кнопку Далее.

  8. Нажмите кнопку "Рецензирование" и " Назначить".

Связанный контент